Napredne opcije

U okviru opcija Napredno podešavanje > Zaštite > Zaštita pristupa mreži > Zaštita od mrežnih napada > Napredne opcije, možete da aktivirate ili deaktivirate otkrivanje nekoliko vrsta napada i zloupotreba koje mogu da oštete računar.

Otkrivanje upada

Otkrivanje neovlašćenog pristupa nadgleda mrežnu komunikaciju uređaja u potrazi za zlonamernom aktivnošću.

•Protokol SMB – Otkriva i blokira razne bezbednosne probleme u SMB protokolu.

•Protokol RPC – Otkriva i blokira razne CVE napade u sistemu poziva za daljinsku proceduru razvijene za distribuirano računarsko okruženje (DCE).

•Protokol RDP – Otkriva i blokira razne CVE napade u RDP protokolu (pogledajte gore).

•ARP Otkrivanje napada trovanjem – Otkrivanje napada trovanjem ARP protokola prouzrokovanog napadom posrednika ili otkrivanje prisluškivanja prilikom promene mreže. Mrežna aplikacija ili uređaj koriste ARP (protokol za razrešavanje adresa) za određivanje ethernet adrese.

•TCP/UDPOtkrivanje napada skeniranjem porta – Otkriva napade softvera ili aplikacija za skeniranje porta koji su osmišljeni tako da traže otvorene portove na hostu slanjem zahteva klijenta velikom broju adresa porta sa ciljem pronalaženja aktivnih portova i iskorišćavanja ranjivosti usluge. Više o ovom tipu napada pročitajte u rečniku.

•Blokiranje nebezbednih adresa nakon otkrivanja napada – IP adrese koje su otkrivene kao izvor napada dodaju se na crnu listu da bi se sprečilo povezivanje na određeni vremenski period. Možete da definišete opciju Period zadržavanja crne liste, koja podešava vremenski period u kojem će adresa biti blokirana nakon otkrivanja napada.

•Prikaži obaveštenje nakon otkrivanja napada – Uključuje obaveštenja oblasti obaveštenja za Windows u donjem desnom uglu ekrana.

•Prikaži obaveštenja i za dolazne napade na bezbednosne propuste – Upozorava vas ako se otkrije napad na bezbednosne propuste ili ako pretnja pokuša na taj način da uđe u sistem.

Provera paketa

Vrsta analize paketa koja filtrira podatke koji se prenose preko mreže.

•Dozvoli dolazne veze sa administratorskim deljenim resursima u SMB protokolu – Administratorski deljeni resursi su podrazumevana deljenja na mreži koja dele particije čvrstog diska (C$, D$...) u sistemu zajedno sa sistemskom fasciklom (ADMIN$). Deaktiviranje veze sa administratorskim deljenjima može da umanji brojne bezbednosne rizike. Na primer, ako crv Conficker izvrši napad na rečnik da bi se povezao sa deljenjima administratora.

•Zabrani stari (nepodržan) SMB dijalekat – Onemogućava SMB sesiju koja koristi stari SMB dijalekat koji IDS ne podržava. Moderni Windows operativni sistemi podržavaju stare SMB dijalekte zbog kompatibilnosti sa starim verzijama operativnih sistema kao što je Windows 95. Napadač može da koristi stari dijalekat u SMB sesiji da bi izbegao proveru saobraćaja. Zabranite stare SMB dijalekte ako računar ne mora da deli datoteke (ili koristi SMB komunikaciju uopšte) sa računarom koji ima staru verziju operativnog sistema Windows.

•Zabrani SMB sesije bez proširene bezbednosti – Proširena bezbednost može da se koristi prilikom SMB sesije da bi se osigurao bezbedniji mehanizam provere identiteta od potvrde identiteta LAN menadžera za pitanje i odgovor. Šema LAN menadžera se smatra slabom i ne preporučuje se za korišćenje.

•Zabrani otvaranje izvršnih datoteka na serveru van pouzdane zone u SMB protokolu – Prekida vezu kada pokušavate da pokrenete izvršnu datoteku (.exe, .dll) iz deljene fascikle na severu koja ne pripada pouzdanoj zoni u zaštitnom zidu. Imajte u vidu da kopiranje izvršnih datoteka iz pouzdanih izvora može da bude legitimno. Imajte u vidu da kopiranje izvršnih datoteka iz pouzdanih izvora može da bude legitimno, međutim, ovo otkrivanje bi trebalo da smanji rizik od neželjenog otvaranja datoteke na zlonamernom serveru (na primer, datoteka koja je otvorena nakon klika na hipervezu u deljenoj zlonamernoj izvršnoj datoteci).

•Zabrani NTLM potvrdu identiteta u SMB protokolu za povezivanje servera u pouzdanoj zoni i van nje – Protokoli koji koriste NTLM (obe verzije) šeme potvrde identiteta su ciljevi napada sa prosleđivanjem akreditiva (poznatih kao napada „SMB Relay“ u slučaju SMB protokola). Zabrana NTLM potvrde identiteta sa serverom van pouzdane zone bi trebalo da smanji rizik od prosleđivanja podataka zlonamernih servera van pouzdane zone. Slično tome, može se zabraniti NTLM potvrda identiteta sa serverima u pouzdanoj zoni.

•Dozvoli komunikaciju sa uslugom upravljanja bezbednosnim nalozima – Više informacija o ovoj usluzi potražite u članku [MS-SAMR].

•Dozvoli komunikaciju sa uslugom lokalnog bezbednosnog autoriteta – Više informacija o ovoj usluzi potražite u člancima [MS-LSAD] i [MS-LSAT].

•Dozvoli komunikaciju sa uslugom daljinskog registra – Više informacija o ovoj usluzi potražite u članku [MS-RRP].

•Dozvoli komunikaciju sa uslugom kontrole upravljanja uslugama – Više informacija o ovoj usluzi potražite u članku [MS-SCMR].

•Dozvoli komunikaciju sa uslugom servera – Više informacija o ovoj usluzi potražite u članku [MS-SRVS].

•Dozvoli komunikaciju sa ostalim uslugama – Ostale MSRPC usluge. MSRPC je Microsoft implementacija DCE RPC mehanizma. MSRPC može da koristi imenovane prolaze do SMB protokola (deljenje datoteka na mreži) za prenos (ncacn_np transport). MSRPC usluge obezbeđuju interfejse za daljinsko pristupanje Windows sistemima i upravljanje njima. Nekoliko bezbednosnih ranjivosti je otkriveno i iskorišćeno na novi način u Windows MSRPC sistemu (crv Conficker, crv Sasser…). Deaktivirajte komunikaciju sa MSRPC uslugama koje vam nisu potrebne da biste umanjili brojne bezbednosne rizike (kao što je daljinsko izvršavanje koda ili napadi na usluge).